암호화폐 거래소를 향한 해커들의 공격이 확대되면서 투자자들의 불안감이 고조되고 있다. 일부 거래소는 기초적인 서버 망 분리 조치조차 없을 정도로 보안취약점이 크고, 구성원들이 이에 대한 인식도 부족한 것으로 파악됐다. 특히 해커들이 상대적으로 적은 노력에도 큰 수익을 낼 수 있어 앞으로도 해킹 위협은 지속될 것으로 보인다.

거래소들은 자율규제를 통해 자구책을 진행하고 있다. 하지만 강제성이 없기 때문에 강제력을 가지는 정부의 제도적 규제가 필요하다는 지적이다.

블록체인 업계에 따르면 국내 대표 암호화폐 거래소인 빗썸은 해커들의 공격으로 인해 190억 원어치의 암호화폐를 탈취당했다. 해킹 발견 초기에 빗썸은 총 350억 원의 피해가 있었다고 발표했지만, 자사보유 암호화폐를 인터넷이 연결되지 않은 전자지갑인 콜드월렛으로 이동해, 탈취될 것으로 예상됐던 금액 중 일부를 보존했다고 해명했다. 빗썸 이전에도 지난 6월 10일 코인레일이 400억 원 규모의 해킹 피해를 입었으며, 지난해 12월 유빗은 170억 원 상당의 코인을 분실하기도 했다.

빗썸, 너마저…거래소 보안 취약성 지속

국내뿐만 아니라 외국에서도 암호화폐 거래소 해킹이 빈번하게 발생하는 추세다. 지난 7월 10일 암호화폐 거래소 방코르(Bancor)가 해킹을 당해 총 2350만 달러(약 260억 원) 상당의 암호화폐를 탈취당했다. 지난 1월과 2월에는 이탈리아 비트그레일이 약 1850억 원, 일본 코인체크가 약 5300억 원을 해킹 당했으며, 2014년 일본 마운트곡스는 4700억 원의 암호화폐 도난으로 인해 파산하기도 했다.

이처럼 암호화폐 거래소에 대한 해킹 피해가 늘어나는 것은 거래소들의 보안취약점이 크기 때문이다. 기본적으로 은행과 증권사 같은 기존 금융사들은 대규모 보안시스템을 운영할 수 있는 자금력이 있다. 하지만 암호화폐 거래소들은 스타트업으로 시작하는경우가 대다수다. 영세업체로 시작하기 때문에 상대적으로 보안에 투자할 여력이 부족하고, 이는 결국 보안시스템 미비로 이어진다.

거래소들의 보안에 대한 인식도 낮은 것으로 파악됐다. 기본적인 보안 시스템으로 어떤 것들을 구축하고, 무엇을 해야 하는지에 대해 기초지식조차 없는 경우도 빈번하다.

특히 보안 분야에서 가장 중요한 것이 망 분리다. 인터넷이 되지않는 서버에 핵심 정보를 저장하고, 서버담당자와 관리자가 특정 키(Key)나 보안 USB를 이용해 접속할 수 있도록 해야 한다. 실시간으로 인터넷에 연결돼 있으면 해커들이 쉽게 접근할 수 있기 때문이다.

실제 유빗 사태 이후 방송통신위원회와 과학기술정보통신부가 지난해 9월부터 12월까지 합동으로 암호화폐 거래소에 대한 보안점검을 진행했다. 점검항목은 시스템 보안관리 체계와 백업운영 체계, 망 분리 여부 등 51개 항목이었다. 점검 당시 대부분의 거래소들은 망 분리를 제대로 하고 있지 않았던 것으로 파악됐다.

한국인터넷진흥원(KISA) 관계자는 “암호화폐 거래소 사람들에게 망 분리를 해야 한다고 말하면 그 개념 자체를 잘 모르는 분이 많았다”면서 “관리자 대부분이 자신이 작업하는 PC와 서버에 접근하는 PC가 동일해 차별성이 전혀 없었다”고 언급했다.

그는 “또 대부분의 거래소 서버들이 전부 클라우드 서비스를 이용하고 있는데, 망 분리를 적용하면 서버에 접근하기 위한 한 가지 통로만 마련해놓고 나머지는 인터넷 접속을 막아야 한다”면서 “그래야 한다는 사실조차 모르고, 심지어 가정에서 쓰던 노트북을 가져와 업무를 수행하거나 무선인터넷이 되는 공간에서 작업을 해 민감한 정보가 유출될 위험성이 있는 경우도 많이 발견됐다”고 설명했다.

금융권에 준하는 보안시스템 최소 100억 원

보통 사무실이나 가정에서 사용하는 무선인터넷 공유기 역시 해킹의 위험으로부터 안전하지 않다. 해커들이 무선인터넷에 접속해 악성코드를 침투시키고, 서버까지 접근할 수 있기 때문이다. 실제 사무실 내 복합기를 해킹해 자료를 탈취하는 경우도 빈번히 발생한다. 따라서 일반 가정에서 사용하는 공유기가 아니라 암호화를 지원하는 공유기를 사용해야 한다. 일부 암호화폐 거래소들은 일반 공유기를 사용하는 경우도 있었다고 KISA 측은 밝혔다.

KISA 관계자는 “해킹을 당하면 원인을 파악하려고 접속기록을 확인해야 하는데, 일반 무선공유기는 이런 기능이 없다”면서 “사고가 발생하면 원인파악과 언제 어떤 형식으로 정보가 유출됐는지 파악조차 어려워진다”고 지적했다.

암호화폐 거래 특성상 보안을 점검할 시간이 부족하다는 문제도 대두된다. 코스피 같은 주식시장은 오전 9시부터 오후 3시 30분까지 거래가 이뤄진다. 반면 암호화폐는 24시간 연중무휴로 거래가 지속된다. 주식거래는 장 마감 후 보안에 대한 점검을 대대적으로 실시할 수 있다. 하지만 암호화폐 거래소는 24시간 내내 거래하고 있어 서버를 멈추고 점검할 수 없다. 게다가 영세한 암호화폐 거래소는 퇴근시간 이후에 문제가 발생했을 경우 긴급 대응할 수 있는 체계조차 갖추고 있지 않았다.

보안시스템을 구축하는데 비용이 많이 들어간다는 것 역시 거래소 보안을 취약하게 만드는 요소로 작용한다.

보안업계 관계자는 “가게에 CCTV를 설치해 도난을 방지한다고 했을 때, 사각지대를 최소한으로 하려면 CCTV를 많이 설치할 수밖에 없다”면서 “마찬가지로 보안에서도 어느 정도 수준에 맞추느냐에 따라 가격이 천차만별이다. 금융권에 준하는 보안시스템을 구축하려면 최소 100억 원 가량이 소요된다”고 설명했다.

암호화폐 거래소 해킹은 ROI가 크다

일반 투자자들이나 소비자들은 거래소 해킹을 ‘블록체인 기반 암호화폐가 해킹당했다’라고 착각하는 경우가 종종 있다. 이는 사실과 다르다. 암호화폐 자체를 해킹하는 것은 아직까지 무리라는 것이 업계의 중론이다. 거래 참가자 모두에게 분산된 원장을 기록하기 때문에 해킹을 시도하려면 이론상 참가자의 51% 이상의 트랜잭션을 변경해야 한다. 비트코인 기준으로 갱신되는 시간이 10분이 넘는다는 점을 감안한다면 단순 계산만으로도 10분 안에 수만 명의 컴퓨터를 동시에 해킹해야 한다는 결론에 이른다.

반면 거래소는 분산원장 기술이 적용되지 않은 중앙집중식 서버를 통해 운영된다. 서버 자체는 블록체인 기반 기술을 적용하지 않고 있다. 신속하고 정확한 거래 처리가 중요한 요소인데, 현재 블록체인 기술의 느린 속도로는 따라잡기 힘들기 때문이다. 거래소의 중앙 서버 역시 분산화시키는 서비스도 외국과 국내에서 등장했지만 기술이 안정화되기에는 이르다는 평가가 지배적이다.

해커가 볼 때 암호화폐 자체를 해킹하는 것은 어렵다. 하지만 거래소를 해킹하는 것은 상대적으로 수월하다. 암호화폐는 수만 명의 컴퓨터를 대상으로 해킹해야 하기에 목표가 불분명하지만, 거래소는 ‘중앙서버’라는 해킹의 목표가 명확하기 때문이다.

더군다나 암호화폐 거래소들의 보안성이 매우 취약하다. 해커는 무엇보다도 적은 노력으로 고비용의 소득을 올릴 수 있는 셈이다. 실제 보안업계에 종사자들 사이에서 “암호화폐 거래소는 ‘ROI(Return on investment)가 크다”는 표현까지 돌고 있다.

영세한 업체가 아니라 빗썸이나 두나무 같이 큰 업체도 방심할 수 없다. 상대적으로 보안에 대한 투자를 강화하고는 있지만 그만큼 회원 수가 많고 돈이 몰려, 해커가 한 번 뚫기만 하면 일확천금을 노릴 수 있기 때문이다. 영세 거래소에서 수십억 원을 훔칠 수있지만 대형 거래소에서는 수백억 원에서 수천억 원을 벌 수 있는 셈이다.

해킹 수법 ‘기상천외’, 뚫릴 수밖에 없다

해킹 기술의 발달도 암호화폐 거래소 공격의 주요 원인 중 하나다. 최근에는 해커들이 지능형 지속공격(Advanced Persistent Threat, APT)을 이용한다. APT는 조직 내부 직원이나 일반인 사용자들의 PC와 스마트폰을 해킹한 뒤, 내부 서버나 데이터베이스에 접근해 정보를 획득하는 기법이다. APT는 3~5년 이상 잠복기간을 가질 수 있어 지속적이고 은밀하며, 확산되는 속도도 빠르다.

아울러 APT는 서버를 노리는 것이 아니라 홈페이지와 투자자 스마트폰 같은 다양한 대상을 무차별적으로 공격한다. 전문가들은 사람을 노리는 공격이기 때문에 단순히 서버에 대한 보안만으로는 제대로 된 방어를 하기 어렵다고 전한다.

해커들은 거래소를 공격할 때 목표가 되는 지점을 크게 외부와 내부로 나눈다. 외부공격으로는 홈페이지와 스마트폰 앱, HTS(홈트레이딩서비스) 해킹이 있다.

홈페이지 공격은 웹 서비스 서버를 해킹해 가입자 개인정보를 유출하고, 이를 통해 투자자들의 전자지갑 키(key)나 주요 정보를 습득해 거래소 서버에 접속해 거래정보를 위조한다. 스마트폰 앱 공격은 악성코드가 심어진 이메일 또는 문자메시지를 거래소 투자자들에게 뿌리고, 투자자가 터치하거나 클릭한 순간 악성코드를 컴퓨터나 폰에 심어 정보를 유출한다. 얻은 정보를 이용해 중앙서버에 접속해서 암호화폐를 빼낸다. HTS도 마찬가지 방법을 적용한다. 가입자가 HTS프로그램을 켜고 비밀번호를 입력할 때 악성코드로 해당 비밀번호를 탈취하고, 접속권한을 얻는 방식을 사용한다.

내부공격은 거래소 직원 해킹, 크립토재킹(Cryptojacking, 채굴서버 해킹), 공유폴더 공격 등이 있다. 거래소 직원 해킹은 해커가 직원에게 악성코드를 심은 이메일을 보내고, 이를 열면 PC에 악성코드가 심어진다. 이를 통해 중앙 서버 접근 권한인 아이디(ID)와 비밀번호를 탈취해 서버를 해킹하거나 전자지갑을 공격할 수 있다.

위치와 신원 노출 없이 해킹하는 ‘워드라이빙’ 

크립토재킹은 서버리스트를 확인하고, 채굴을 운영하는 웹로직 서버를 발견해 악성코드를 심는다. 이렇게 하면 채굴로 생성된 암호화폐 중 일부를 해커에게 전송하도록 만들 수 있다. 말 그대로 암호화폐를 납치하도록 유도하는 수법이다.

글로벌 보안업체 시만텍 보고서에 따르면 사용자 컴퓨터에서 암호화폐 채굴 악성코드를 탐지한 건수가 지난해 1월 약 2만 건에서 같은 해 12월에는 약 170만 건으로 집계됐다. 크립토재킹 악성코드가 1년 사이 무려 8500% 증가한 것이다.

직원들이 일하면서 사용하는 공유폴더를 공격하는 것도 해커들이 즐겨 사용하는 방법이다. 특히 공유폴더는 사무실 밖에서도 빈번하게 사용하기 때문에 해킹 위협에 더 많이 노출된다고 보안업계 종사자들은 입을 모은다.

악성코드를 침투시키기 위해 최근에는 ‘커피마이너’라는 해킹기법도 등장했다. 서버를 우선 목표로 두지 않고 사용자들을 목표로 두고 진행하는 해킹이다. 특히 카페 공용 와이파이를 주로 공격한다.

예를 들어 거래소 사무실 주변의 카페에 공공와이파이가 있다면 거래소 직원들이 카페에 방문해 접속할 때를 노린다. 작업에 쓰는 노트북을 가지고 카페에서 업무를 보거나, 스마트폰 인터넷 접속을 와이파이로 하면 악성코드의 위험에 지속적으로 노출된다. 악질 해커는 해당 카페의 무료 커피 쿠폰을 제공한다는 이벤트를 펼쳐 문자메시지 클릭을 유도하기도 한다.
이렇게 카페 또는 공공와이파이를 해킹하려고 해커들은 ‘워드라이빙(War Driving)’이라는 것을 한다. 워드라이빙은 건물에 직접 들어가지 않은 채, 자동차를 타고 건물 밖을 한 바퀴씩 돌면서 와이파이를 찾아 악성코드를 심는 방법이다. 자신의 위치와 신원을 노출시키지 않고 악성코드를 전송하기 위해 사용한다.

특히 거래소 이름만 가지고 해킹하는 사례도 나타났다. 구글이나 네이버 같은 검색엔진을 통해 거래소 이름을 검색하고 홈페이지를 접속해 인증우회를 한다. 이를 통해 이메일 서버를 장악한 뒤 거래소 홈페이지 전체를 장악하고, 문서를 확인해 개인정보를 유출한다.

실제 가장 최근에 일어난 빗썸 해킹사태에서 망 연계장비에 악성코드가 침투해 발생한 것이라는 추정이 나오고 있으며, 지난 1월 코인체크 해킹도 APT 악성코드가 송금암호를 취득해 이뤄졌다. 외국 사례인 마운트곡스도 APT가 웹사이트를 해킹해 고객 개인정보를 탈취해 진행됐다.

자율규제안으로 자구책 마련…강제성 없어 한계

암호화폐 거래소의 연합인 한국블록체인협회는 자율규제안으로 자구책을 마련하고 있다. 자율규제안에서 보안성 심사는 크게 사용자 인증과 네트워크 관리, 서버 관리, 웰렛(전자지갑) 관리, 접근 통제, 복구, 운영, 개인정보보호 등 8개 분야 66개 항목으로 평가한다.

주요 항목을 살펴보면 민감한 트랜잭션(입출금, 코인구매) 수행시 추가 인증 요구 여부, 인증정보 암호화(해시 함수 적용), 외부 네트워크와 내부 네트워크 분리(망 분리), 비정상 트래픽 발생 시 대응 프로세스 적용 여부, 핫/콜드 월렛 적절한 사용 정책 등으로 구성돼 있다.

협회에 따르면 자율규제안은 암호화폐 거래소가 지켜야 할 최소한의 여건이며, 각각의 거래소 상황에 따라 추가적인 보안 자구책은 마련해야 한다고 언급했다. 하지만 자율적인 규제인 만큼 강제성을 띠지 않아 한계가 크다.

12개 업체가 자율규제안을 통과했는데, 해킹 피해를 입은 빗썸도 포함돼 봐주기식 처리가 아니냐는 지적이 나오고 있다. 또 협회회원사 암호화폐 거래소들은 자율규제를 받고 있지만 협회에 가입하지 않은 곳은 아무런 제재가 없어 상대적으로 차별받는다는불만도 제기되고 있다. 결국 외부에서는 ‘봐주기’ 의혹이 불거지고, 내부적으로는 ‘역차별’ 논란이 발생하는 상황이다.

업계에서는 자율규제안으로는 한계를 극복하기 어렵고, 정부가 명확한 방향을 갖고 규제안을 마련하는 것이 필요하다는 주장이다.

전하진 한국블록체인협회 자율규제위원장은 “거래소 등록이나 허가제를 도입하는 등 정부가 어느 정도 기준 만들어 놓고 요건을 충족시켜야 거래소를 설립할 수 있도록 허용했다면 자율규제는 존재의 의미가 없었을 것”이라며 “지금까지 정부는 암호화폐 거래소들을 방치하고 있는 것과 마찬가지”라고 지적했다.

전하진 위원장은 “자율규제는 최소한의 요건을 갖춰놓은 규제안”이라며 “신뢰성을 높여 정부에서도 자율규제안이나 협회가 파트너가 될 수 있다고 판단하는 수준까지 만들어갈 계획”이라고 말했다.

보안 기술적 측면에서는 지능화된 공격 방어 시스템을 추가적으로 구축해야 한다는 지적이 나온다. 해커가 다양한 악성코드 툴(Tool)을 자동화해 침투시키기 때문에, 방어하는 입장에서도 인력에 의존하지 않고 인공지능(AI)을 통한 자동화 대응이 필요하다는 의견이다.

보안업계 관계자는 “보안 1세대는 알려진 공격을 막는 노운어택(Known attack) 대응이었기에 새로운 패턴이 늘어날수록 성능이 떨어질 수밖에 없었다”면서 “보안 2세대는 모르는 공격에도 대응할 수 있는 언노운어택(Unknown attack) 대응을, 보안 3세대는 AI를 통해 실시간 위협까지 방어할 수 있는 시스템이기 때문에 거래소들도 3세대 보안시스템을 도입해야 한다”고 설명했다.

테크M = 김태환 기자(kimthin@techm.kr)]